Jump to content
Local
Туйон

Mikrotik настройка firewall

Recommended Posts

Нужны комментарии по поводу настройки фаервола.

Настраиваю очередной интернет-шлюз под заказчика, пользователей около 100, включение/выключение руками (через ip - firewall - address list).

Пробовал разные варианты, и придумал вот что:

 

/ip firewall filter

add action=drop chain=input connection-state=invalid
#блокирует некорректные соединения на вход

add action=drop chain=forward connection-state=invalid
#блокирует некорректные соединения на транзит

add action=accept chain=input src-address-list=Client
#разрешает входящие соединения для пользователей, если ip активен в адрес-листе

add action=accept chain=forward src-address-list=Client
#разрешает транзитные соединения для пользователей, если ip активен в адрес-листе

add action=accept chain=input protocol=icmp
#разрешает входящий ICMP для всех

add action=drop chain=input connection-state=new
#запрет для всех входяших новых соединений, которые не попадают в вышестоящие правила

add action=drop chain=forward connection-state=new
#запрет для всех транзитных новых соединений, которые не попадают в вышестоящие правила

И вроде бы всё работает. Из интернета пинг на шлюз есть, доступа на порты нет, инет для активных ай-пи в адрес-листе работает.

Однако, поразмыслив с коллегами, пришли к сомнениям.

1. Нужны ли первые два правила для резки неких инвалидных соединений? Мне предлагают их выбросить вообще, мол, на работу не влияют, больше для красоты и верности.

2. Моя логика с чередованием input/forward кривая, мол, нужно сначала прописать все intup, потом все forward. Я так пробовал. Визуально начинают дольше грузиться странички. Или же это из-за перестройки и нужно сначала ребутнуть роутер?

3. Нужно в разрешающих правилах разрешать не всё, а только established и related, а в нижних правилах рубить всё, а не только new.

Вот я и задумался.

 

Как бы посоветовали вы?

Edited by Туйон

Share this post


Link to post
Share on other sites
8 часов назад, Туйон сказал:

1. Нужны ли первые два правила для резки неких инвалидных соединений? Мне предлагают их выбросить вообще, мол, на работу не влияют, больше для красоты и верности.

нужны, гуглите зачем это делается

8 часов назад, Туйон сказал:

2. Моя логика с чередованием input/forward кривая, мол, нужно сначала прописать все intup, потом все forward. Я так пробовал. Визуально начинают дольше грузиться странички. Или же это из-за перестройки и нужно сначала ребутнуть роутер?

iptables на каждый пакет проверит все правила дойдя до того которое его явно запретит или разрешит

смотреть схемы работы prerouting, forward, etc какой порядок обработки

или поставить железку достаточно быструю что б не оптимизировать фаер, ну и выкинуть на мороз ROS да, если хочется перфоманса чистого

Edited by l1ght

Share this post


Link to post
Share on other sites
В 13.04.2019 в 10:27, Туйон сказал:

add action=accept chain=input src-address-list=Client #разрешает входящие соединения для пользователей, если ip активен в адрес-листе 

а зачем пользователям доступ к серверу ?

у цепочки chain=input  смысл другой. Пакеты на сам роутер.

Edited by Kovalchukvv

Share this post


Link to post
Share on other sites
2 минуты назад, Kovalchukvv сказал:

а зачем пользователям доступ к серверу ?

у цепочки chain=input  смысл другой. Пакеты с самого роутера.

Только вот на роутер, а не с роутера

Share this post


Link to post
Share on other sites
2 минуты назад, Kovalchukvv сказал:

а зачем пользователям доступ к серверу ?

 

а админу как админить ?

и ДНС как будет работать?

если input это пакеты с самого роутера, то что такое тогда output?

Share this post


Link to post
Share on other sites

не красиво правило звучит.

input трафик на роутер , output  трафик с роутера.

  • Haha 1

Share this post


Link to post
Share on other sites

Всем привет. 

Дабы не плодить тему апну эту своим вопросом. 

Есть Микрот rb4011 чуть ли не в дефолтном конфиге.

Проблема в том, что он не натити исходящий sip трафик. 

Пробовал и маскарад и сорс-нат. Отключение сип в сервис портах ни на что не влияет.

Что не делаю пакеты к аплинку уходят с локальным адресом в сорс адрес. 

Было у кого такое? куда копать? 

Share this post


Link to post
Share on other sites

копать в сторону "mikrotik sip не работает" и в сторону "пакеты к аплинку уходят с локальным адресом"

Edited by Dimkers

Share this post


Link to post
Share on other sites

Вроде заработало. 
Зашел в ip firewall connection, отфильтровал коннекшины по адресу сервера, дропнул коннекшин и сразу все начало натиться. 

Share this post


Link to post
Share on other sites
1 час назад, tkapluk сказал:

Вроде заработало. 
Зашел в ip firewall connection, отфильтровал коннекшины по адресу сервера, дропнул коннекшин и сразу все начало натиться. 


Тю, как будто первый день с некротиком и трекингом коннектов.

  • Sad 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By VoodooHaker
      Продам Базовую станции MikroTik
      (Алюбокс, 411GL, r52Hn, пигтейлы) - 7 шт  по 40 у.е.
      + запасной + 411GL, r52Hn
    • By Romari0
      Продам
       
      Quanta LB6M 10GbE 24-Port SFP 4x 1GbE, прошита под брокейд, жрет как 10ж так и 1ж модули - 400 баксов
       
      MikroTik CCR1036-12G-4S - 500 баксов
       
      OLT BDCOM P3310B есть три штуки, по 300 баксов за штуку или 850 за три сразу
       
      Все добро находится в г. Бровары, могу подвезти в Киев, или отправлю новой почтой
    • By dimonian
      Все работало отлично, но в какой то момент перестал соединяться с микротиком. В настройках NAS выдает ошибку Notice: Undefined offset: 0 in /usr/local/www/apache24/data/billing/api/libs/api.routeros.php on line 61. Второй микротик подключен и работает, настройки не менялись.
      Подскажите, что может быть?
    • By оверлок
      можно ли средствами MikroTik реализовать такую фишку- при не оплате у клиента всплывало окно(отключены ,пополните счет) .?
    • By pLastUn
      Приветствую коллеги.
      Имеется сеть небольшого провайдера в нескольких бизнес-центрах,  NAS и маршрутизация на микротиках. Исключительно юр-лица. 
      От каждого клиента отдельный VLAN по свичам и на  NAS-е в отдельный bridge, т.е. на Микроте у каждого клиента отдельный интерфейс.
      Поставил последний стабильный Ubilling 1.0.7 rev 7462 на FreeBSD 12.1.
      Из биллинга  в микротике для управления используются простые очереди и файрвол листы. 
      Все красиво работает, когда клиенту выдается IP из ./30 подсети, этот же IP попадает в листы на микротике и в Target очередей.
      Но как быть, если клиенту надо отдать /29 или больше, и еще есть клиенты, которым отдаются  серые /24. Есть ли возможность выдать клиенту подсеть, и в микроте в листах и очередях получать эту подсеть а не IP?
      Перечитав оффдоки и форум не нашел никакого решения. Существует модуль юр.лица, может быть он реализует необходимый функционал?
       
      Пару мелких вопросиков: какие еще переменные можно использовать в /etc/stargazer/system/executer/tpls/*.ini кроме IP и LOGIN ?
      В диалоге Расширенная настройка MikroTik  - Users Interface и Graph Interface где используются?  Для ссылки на графики используется имя очереди оно же логин клиента.  Так же клиенту можно добавить произвольные поля. Можно ли данные из Users Interface  и из произвольных полей  использовать в ...tpls/*.ini  ?
       
      Буду благодарен за любые мысли по этому поводу.
       
      З,Ы, В процессе  осваивания наткнулся на баг: если клиенту присвоить порт на свиче, а потом удалить клиента, порт остается занятым и нового клиента на него не повесить и как освободить порт не нашел. Создал клиента с логином как у удаленного, удалил порт со свича, потом удалил клиента.
       
       
       
       
       
       
×